[Update] Samsung Galaxy S3: Wenn der Hardreset per SMS kommt
Sicherheitslücken sind immer sehr ärgerlich, da es bei populären Geräten und Systemen meist nicht lange dauert, bis die bekannt gewordenen Lücken auch aktiv ausgenutzt werden. Bei Smartphones ist das noch nicht so ausufernd wie bei Desktop-Systemen aber das was beim Galaxy S3 von Samsung machbar ist, lässt einen schon etwas unruhig auf sein Smartphone schauen.
Denn mit dem simplen Besuch einer speziell präparierten Website lässt sich das Galaxy S3 auf seinen Werkszustand zurücksetzen, sprich ein Hardreset inklusive Verlust aller Daten wird durchgeführt. Das geschieht durch einen USSD-Code, der in einen entsprechenden Frame der Website versteckt wird. Heißt im Klartext, dass ein Seitenbetreiber reihenweise seine mobilen Besucher zu einem Hardreset verleiten könnte. Das Schlimme an der Sache ist eigentlich, dass der Hardreset ohne vorherige manuelle Zustimmung erfolgt, der Nutzer des Galaxy S3 also im schlimmsten Fall nicht einmal etwas davon mitbekommt.
Doch nicht nur über eine Website lässt sich der für den Besitzer verheerende Effekt auslösen. Selbst eine simple WAP Push SMS reicht bereits aus, damit der USSD-Code übermittelt und ausgeführt wird. Das wird vor allem dann fatal, wenn man scherzfreudige oder verärgerte Menschen zu seinem Freundeskreis zählt. Fatal ist zudem, dass der Vorgang nicht einfach so gestoppt werden kann, wie das folgende Video ab etwa 10:30 Minuten zeigt. Ob neben dem Galaxy S3 auch weitere Modelle von Samsung oder anderen Herstellern gefährdet sind, können wir nicht sagen, wundern würde es uns allerdings nicht allzu sehr.
[youtube Q2-0B04HPhs Demo Dirty use of USSD Codes in Cellular Network en Ekoparty 2012]Beim Galaxy Nexus mit Android 4.1.1 Jelly Bean ist die Sicherheitslücke offenbar nicht vorhanden, denn laut Caschys Blog erscheint bei der iFrame-Möglichkeit via Webbrowser lediglich das Tastenfeld der Telefonapp mit dem USSD-Code. Ob das Verhalten mit Android 4.1 Jelly Bean behoben wurde, lässt sich daraus allerdings nicht schließen, das müsste dann jemand mit einem Galaxy S3 und dem Jelly Bean Update mal ausprobieren. Zwischenzeitlich kann der automatisierte Empfang von WAP-Push-Nachrichten auch deaktiviert werden.
Update
Und schon hat Samsung den Sachverhalt kommentiert, bzw. Entwarnung gegeben. Zumindest mehr oder weniger eine Entwarnung, denn das die Lücke bestand hat der Konzern nun zugegeben und gleichzeitig auch beseitigt. Bisher ist nur vom Flaggschiff der Südkoreaner, dem Galaxy S3 die Rede. Andere Modelle wie das Galaxy S2 oder das Galaxy Note 10.1 3G sind eigenen Versuchen zufolge nicht betroffen. Dennoch verteilt Samsung aktuell und in den kommenden Tagen ein OTA-Update für das Galaxy S3, mit dem die USSD-Lücke geschlossen wird. Entweder bekommt ihr automatisch die Benachrichtigung oder ihr solltet mal manuell die Update-Suche anschubsen.
We would like to assure our customers that the recent security issue concerning the GALAXY S III has already been resolved through a software update. We recommend all GALAXY S III customers to download the latest software update, which can be done quickly and easily via the Over-The-Air (OTA) service.
Deutsche Übersetzung:
Wir möchten unseren Kunden versichern, dass die jüngste Sicherheitslücke des Galaxy S3 bereits durch ein Software-Update behoben wurde. Wir empfehlen allen Galaxy-S3-Kunden das neuste Software-Update herunterzuladen, welches schnell und einfach über den Over-The-Air (OTA) Dienst bezogen werden kann.
Pingback: pocketpc.ch Forum - Der Samsung Galaxy S3 Stammtischthread
Pingback: -Daily short Top 5- | anDROID NEWS & TV
Pingback: USSD-Lücke zieht weitere Kreise: SIM-Sterben bei Anruf | anDROID NEWS & TV